基于PKI/PMI的授权管理模型设计

随着计算机应用系统的日益庞大,用户身份认证、访问控制和权限管理成为应用系统安全关注的焦点。如何结合PKI、PMI技术为应用系统提供一种统一的身份认证、授权管理和访问控制是论文想要探讨的问题。文中介绍了一种基于PKI的PMI授权管理访问控制模型,并提出了基于属性证书实现访问控制的方法。     

基于加权熵的访问控制策略安全性分析研究

为解决访问控制策略的安全性分析问题,提出了一种基于信息熵的策略量化分析理论.首先,根据信息论中加权熵的知识定义了策略安全熵,提出了非授权访问行为的最大不确定性计算方法.然后,分别给出了典型访问控制策略的一维安全熵和N维安全熵,并对结果进行了证明.最后,依据安全熵分析了典型访问控制策略的安全性.     

属性驱动的多策略网格授权机制研究

网格系统存在大量动态的访问用户和每个自治域有自己的访问控制策略,因此具有动态性和自治性的访问控制需求。基于属性的访问控制和网格系统的授权需求提出了一个属性驱动的多策略访问控制模型（MP_ABAC,Multipolicy_supported Access Control based on Attribute）并基于继承和封装思想和可扩展访问控制标记语言（XACML）设计了MP_ABAC授权框架。框架在网格访问控制中存在很大的优势,为网格授权系统提供了开放的架构,且能够集成第三方基于属性的授权系统。     

基于认证可信度的角色访问控制模型

提出一种基于认证可信度的角色访问控制模型(AT-RBAC).该模型将可信度技术与访问控制相结合,将身份认证的结果用可信度值来度量,以此来强化身份认证与访问控制的联系.用户必须通过角色、权限的可信激活约束才能获得相应权限.实践表明,AT-RBAC模型可实现灵活的系统授权,达到对高安全级资源有效保护的目的.     

面向ASP页面资源的细粒度访问控制方法研究

Web网页的访问控制是保证网页信息安全性的重要途径。通过对ASP(Active Server Pages)页面结构的分析,研究了ASP页面中资源的分类并给出了各类资源的表示格式,设计了面向ASP页面资源的细粒度授权策略,基于ASP的页面结构提出了一种细粒度访问控制方法。实验结果表明该方法能有效的控制用户对ASP页面资源的访问,为授权提供方便,具有较好的通用性。     

CNGI环境中跨域AAA系统的构建

国际上的认证与授权方面的标准主要有安全性断言标记语言(SAML)、可扩展访问控制标记语言(XACML)等,中国下一代互联网示范工程(CNGI)跨机构的统一认证和授权中间件技术项目基于国际规范,提出了结合现有成熟产品DT(DigitalTrust)、身份提供者(IdP)和服务提供者(SP)而建立跨域跨机构统一身份认证、授权和审计(AAA)系统的完整方案。该系统提供一种独立于协议和平台的身份验证和资源访问授权交换机制,对于CNGI环境下跨域跨机构统一认证和授权技术的发展和应用具有很好的示范意义。     

计算机网络分布式系统中角色访问控制的授权策略

文章给出了一种基于角色的PMI系统的授权策略的构成与实现,可以为大型企业多种信息应用平台和网络中分布式应用系统提供一种用户权限的集中统一的管理。并从几个方面对怎样实现RBAC授权策略作了详细的说明,通过对策略的管理,能很好地实现基于RBAC的授权。     

基于XML授权策略的访问控制模型的设计与实现

在安全实现身份认证的前提下,特权管理基础设施PMI同基于角色的访问控制RBAC相结合可以有效地建立一个基于角色的统一访问控制体系。本文使用基于XML的授权策略建立角色与访问权限之间的关系,同时提出并实现了一个采用该策略描述体系的基于角色的访问控制模型。     

电信ASP平台中统一安全认证系统的设计和实现

本文论述了上海电信ASP(application service provider)商用平台中统一安全认证系统的设计原则和方法.安全认证系统,是在互联网的应用或服务环境中,对虚拟网络身份可信度进行管理的安全服务体系.安全认证系统为管理分布式互联网的用户标识、角色和安全提供了基础结构,实现统一用户管理、集中访问控制、身份认证和应用授权、单点登录(single sing on,SSO)、用户访问策略与保密、有效的身份管理和审计等核心服务.上海电信ASP商用平台集成了跨行业的多种应用系统,兼容各种已有的和未来新的技术标准,能适应多种用户、角色及数据模型需求,符合多种应用管理策略的集成要求.安全认证系统能够使ASP商用平台实现"统一管理,共享资源;统一认证,灵活扩展;统一授权,运维安全;统一规划,降低风险".     

面向云存储的基于属性加密的多授权中心访问控制方案

已有基于属性加密的访问控制研究多是基于单授权中心来实现,该种方案在授权方不可信或遭受恶意攻击的情况下可能会造成密钥泄露。提出一种基于属性加密的多授权中心访问控制模型PRM-CSAC。基于CP-ABE方法,设计多授权中心的属性加密方案以提高密钥安全性;设计最小化属性分组算法,使用户访问文件时,能够按需分配密钥,减少不必要的属性密钥分配,降低重加密属性数量,提高系统效率;增加读写属性加强加密方对文件的访问控制,使访问控制策略更加完善。安全性分析及仿真实验表明,相比已有方案,PRM-CSAC对用户访问请求的响应时间更短,开销较小,且能够提供很高的安全性。     

校园综合门禁管理平台的设计

针对当前高校门禁管理建设中多系统多卡、门禁流水数据分散、扩展性能差等问题,在分析已有系统架构的基础上,提出了以感知层、传输层、应用层为核心的校园综合门禁管理平台三层框架设计,通过统一校园卡介质及授权、实施分级管理及门禁联网、全面规范接入标准、集中存储数据流水等手段,实现基于校园卡门禁应用数据的统一处理。该设计方案不仅能方便高校门禁应用的管理,而且为开展基于门禁数据挖掘及支撑领导决策奠定基础。     

IPTV终端网管鉴权系统的设计与实现

根据目前IPTV业务的安全性目标和需求,针对IPTV终端网管系统中未授权用户非法接入和业务权限控制问题,采用HTTP摘要认证机制和SSL/TLS协议结合RSA非对称加密算法,设计并实现了一套终端网管鉴权系统.经过测试分析,鉴权系统满足终端设备身份和业务权限鉴权的需求,提高了系统的安全性.     

基于多元判决的动态访问控制架构的研究

论文在分析现有访问控制模型和技术的基础上,结合多元判决与动态访问控制的思想,提出了一种基于多元判决的动态通用访问控制架构,并重点阐述了多元判决与动态授权管理的设计思路,对架构中各模块、数据库进行了介绍。本体系架构克服了现有访问控制技术中判决依据单一、授权方式无法满足部分应用业务安全需求的不足,为访问控制实现提供了新的思路。     

基于DiffServ的MIPv6安全接入方案

结合DiffServ网络QoS控制与AAA安全机制,文中设计了一种网络区域边界安全的MIPv6接入方案。方案采用AAA认证授权,实现MIPv6转交地址配置和应用层与网络层身份一一映射,为DiffServ区域提供了边界保护;采用应用层与网络层安全协同,减轻了边界路由安全负荷。     

办公自动化系统中基于RBAC的授权模型

在基于角色的访问控制(RBAC)中,只给角色分配权限,用户必须成为角色中的一员才能取得相应的访问权限。基于角色授权的基本思想是:系统中某个成员将自己所拥有的权限授予另外一个成员,使之代表自己完成一定的工作。由于授权特征的多样性,授权模型有多种不同的状态。首先归纳出与授权有关的几种基本特征,然后根据办公自动化系统的具体业务情况将授权特征的组合进行精简,找出一组合适的状态,从而建立起办公自动化系统的授权模型。     

Trusted data access and authorization protocol

Threshold proxy re-encryption( PRE) authorizes the data access right of data subject to multiple proxies, who authorize the right again to delegatee to accomplish the end-to-end data encryption process from storage to authorization. Based on threshold PRE algorithm, in order to build a complete trusted data storage and authorization system, the four protocols, which are data access protocol, authorization proxy protocol, authorization proxy cancellation protocol and data reading authorization protocol, are defined completely. On that basis, an efficient data searching method is constructed by specifying the data delegatee. At last, to ensure the right to know of data, the audit log is processed with trusted data right confirmation based on distributed ledger technology. Meanwhile, a parallel data right confirmation processing method is defined based on hierarchical derivation algorithm of public and private key. In the end, the performance evaluation analysis of the protocol are given. Trusted data access and authorization protocol is convenient to build a complete data processing system on the premise of protecting data privacy based on public cloud storage system or distributed storage system.     

基于UCON的空间访问控制模型的研究

虽然UCON模型包含了传统访问控制、信任管理、DRM三个问题领域,是下一代访问控制技术的发展方向,但是它不能解决空间数据库系统和基于移动用户位置的信息服务系统中空间动态授权。本文将空间授权规则引入到UCON模型中,提出了一个支持空间特性的面向使用的访问控制模型GEO—UCON,并给出了在空间环境下的授权规则,扩展了传统的UCON模型的空间安全描述能力。     

Capability-based IoT access control using blockchain

Internet of Things (IoT) devices facilitate intelligent service delivery in a broad range of settings, such as smart offices, homes and cities. However, the existing IoT access control solutions are mainly based on conventional identity management schemes and use centralized architectures. There are known security and privacy limitations with such schemes and architectures, such as the single-point failure or surveillance (e.g., device tracking). Hence, in this paper, we present an architecture for capability-based IoT access control utilizing the blockchain and decentralized identifiers to manage the identity and access control for IoT devices. Then, we propose a protocol to provide a systematic view of system interactions, to improve security. We also implement a proof-of-concept prototype of the proposed approach and evaluate the prototype using a real-world use case. Our evaluation results show that the proposed solution is feasible, secure, and scalable.     

基于ECC算法的Intranet身份认证系统设计

身份认证是保障信息安全的关键一环,是提供访问控制的第一步。本文介绍了ECC算法和身份认证的相关理论,提出一种基于ECC算法的身份认证系统方案,其适用于Intranet内联网之中,使用混合密码体制和软硬件协同的工作方式,提供高速、安全可靠的身份认证服务。